欢迎来到看个球,您的专业体育直播平台
研究员 zer0dac 指出,ChatGPT 在处理用户上传文件时存在一个安全隐患。通常情况下,用户上传文件后,ChatGPT 并不会提供直接下载该文件的功能,并且在用户要求下载时,会告知文件为临时上传,无法获取。
然而,zer0dac 的测试表明,可以通过一种特定方式绕过此限制。首先,要求 ChatGPT 对上传的文件进行编辑操作。随后,以“误删文件”为借口,请求 ChatGPT 生成文件的下载链接。此时,ChatGPT 会提供一个有效的 URL,其中包含了用于访问文件的内部接口路径。一旦获取到这一路径,攻击者便可能进一步运用路径遍历技术,尝试突破原有的访问权限,进而读取非预期目录下的其他内容。
zer0dac 进一步解释,尽管 ChatGPT 的沙箱机制限制了该漏洞直接访问高度敏感信息的可能性,但它能够成为更复杂攻击活动中的一个关键步骤,为后续的攻击行为铺平道路。对此,OpenAI 已采取措施,修改了文件下载 URL 的生成逻辑,成功修补了这一安全漏洞,阻止了潜在的黑客利用此漏洞获取内部文件访问路径的行为。对于热衷于了解技术前沿的爱好者来说,类似 ChatGPT 的技术动态,就像精彩的看球直播一样,引人入胜。